« Les hôpitaux sont des cibles faciles pour les pirates informatiques », les professionnels sonnent l’alerte
Nos hôpitaux sont-ils bien protégés contre les cyberattaques ? D’après le bureau PwC, pas vraiment et encore moins depuis le début de la crise du Covid. Les systèmes de ventilation, essentiels en pleine pandémie, peuvent même servir de porte d’accès aux pirates informatiques. Un risque pour les données personnelles des patients, mais aussi pour le bon fonctionnement des hôpitaux.
Deux mots-clés : la gestion et la préparation aux cyberattaques. Au sein du groupe Pwc, Vitto Rallo est la tête d’une équipe qui gère la prévention, l’intervention, l’analyse et la gestion d’incidents. Le but est de minimiser l’impact des attaques des pirates sur les systèmes informatiques. Récemment, PwC Cyber, son bureau, a mené une étude sur les risques de cyberattaque pour le secteur des soins de santé belge. IL pointe une de ses principales faiblesses : les systèmes « opérationnels ».
Coronavirus : l’opportunité rêvée pour les pirates
Ces trois dernières années, Vitto Rallo a observé trois phases d’évolution des cyberattaques. Dans un premier temps, c’était surtout les utilisateurs et les clients qui étaient visés. Les pirates informatiques étant intéressés par leurs données personnelles, leurs habitudes de consommation, etc. Puis le centre d’attention des pirates a migré vers les systèmes commerciaux et économiques du nord de l’Europe et du Benelux. Les cibles sont plus grosses, plus difficiles à attaquer, mais les bénéfices plus intéressants. « On passe de 300 € de rançon demandés aux particuliers, à plus de 25 000 pour les entreprises » précise Vitto Rallo. Le but de ces pirates informatiques n’est pas de bloquer le système, mais de récupérer les données qu’il contient pour les vendre ensuite.
Nous avons constaté que le secteur de la santéest devenu la cible parfaite pour les pirates informatiques… Ils n’ont pas de barrière éthique, même en pleine épidémie.
Depuis un an, « les hackers utilisent la peur engendrée par la crise du coronavirus pour développer de nouvelles techniques ». La recherche d’information et l’anxiété « sont des appâts simples et efficaces » s’inquiète le directeur. Il est facile de camoufler un système de piratage informatique derrière un pop-up ou un lien « en savoir plus sur le Covid-19 » ou « quelle évolution des cas en Belgique ».
Des cyberattaques de plus en plus physiques
Toutes les formes de technologie virtuelles que l’on utilise quotidiennement au travail, comme les ordinateurs, les boîtes mails ou les téléphones, sont appelées « technologies informatiques » (IT). Les technologies opérationnelles (OT), elles, comprennent tous les éléments qui font partie de l’environnement matériel opérationnel. Autrement dit, « les interrupteurs des lumières, l’air conditionné, le système de distribution d’oxygène, tout ce qui a un impact sur l’aspect physique et humain » précise Vitto Rallo. Cet environnement physique, essentiel aux hôpitaux, est lié au système informatique.
Aujourd’hui, il faut ajouter au risque de cyberattaques habituel, celui d’une intrusion dans le matériel physique de l’hôpital.
« Les systèmes opérationnels ne sont pas encore les cibles principales », indique Vitto Rallo. La majorité des attaques visant les hôpitaux concerne le système informatique. Mais l’accès aux OT est plus facile et moins flagrant. Selon le directeur, il est facile de s’y infiltrer de façon plus camouflée car pour le momentce matériel est relié au réseau du système informatique. Par exemple, si un pirate informatique attaque le fonctionnement des respirateurs et prend leur contrôle, l’équipe de l’hôpital ne va pas nécessairement le réaliser » indique Vitto Rallo. Les respirateurs seront toujours opérationnels et les équipes pourront continuer à les utiliser. C’est lorsque la demande de rançon s’affichera sur les ordinateurs de l’hôpital que la menace sera annoncée et deviendra visible.
Isoler les systèmes opérationnels
Vitto Rallo est clair, il est nécessaire de porter son attention sur les systèmes opérationnels et d’investir dans le développement de leur sécurité. Pour lui, le défi actuel des hôpitaux est de créer une frontière entre le système informatique et le système opérationnel pour diminuer le risque de piratage. Plus les systèmes sont isolés, moins ils seront vulnérables face aux cyberattaques. « Lorsque vous allez chez votre médecin traitant et que vous vous rendez ensuite à l’hôpital pour faire une radio, le résultat est produit au sein du laboratoire, puis partagé sur le système informatique. Ce système informatique, connecté à Internet, permet le partage des données sur le réseau. Ainsi, votre médecin traitant peut avoir accès à ces données lui aussi », les interconnexions sont énormes et doivent être sécurisées.
La première chose à faire est d’établir un système de classification des systèmes pour identifier leurs liens et donc leurs risques. « Le partage de données, les mails par exemple, ne doit pas être sur le même canal que celui des IRM » recommande Vitto Rallo. Dans un monde de plus en plus connecté, les systèmes OT et IT ont été reliés pour plus de facilité et de partage de données. Leur exposition au risque de cyberattaques s’est donc multipliée. Il suffit d’infiltrer le réseau informatique pour avoir accès au système d’air conditionné, et inversement. Le défi est donc de les dissocier à nouveau, tout en développant un nouveau canal de communication, différencié. Ce qui va à l’encontre d’un autre objectif : le gain de temps. L’unification des systèmes a été un soulagement pour les professionnels de santé. D’un point de vue opérationnel, « il est dangereux, mais aussi génial de pouvoir collecter toutes les IRM sur un même réseau et sur la même base de données ».
Les hôpitaux, trésor pour les pirates informatiques
Damien Fritsch est responsable de la sécurité des systèmes d’information (CISO) au CHU Saint-Pierre et explique la vulnérabilité des hôpitaux de différentes manières. Le secteur de la santé n’est pas au même niveau que le secteur bancaire, « au niveau de la complexité des attaques, c’est une cible plus accessible ». En plus d’être accessibles, les bénéfices d’une cyberattaque sur un hôpital sont attrayants. « Une donnée bancaire sur le dark web vaut entre un et deux euros, tandis qu’une donnée médicale vaut entre 100 et 150€ », illustre Damien Fritsch.
La sécurité des systèmes d’information ne concerne pas que l’informatique, la cyberdéfense. « Quand on fait de la sécurité 360°, on peut croiser une attaque terroriste avec un afflux massif de patients, à une cyberattaque de l’hôpital » s’inquiète Damien Fritsch. Il insiste, ce n’est pas qu’une affaire de technique, mais aussi d’humain.
Pour le CISO, il est nécessaire d’accompagner et de sensibiliser les collaborateurs de l’hôpital à l’hameçonnage (ou fishing), une technique de piratage qui vise à récupérer les données personnelles de la cible, en imitant l’identité d’un tiers (une banque, une mutuelle, etc.). D’autant plus en période de télétravail.
Hôpitaux vs. pirates informatiques, la course folle
L’enjeu le plus important, pour le CISO, est de « vivre avec son temps ». Pour un système de défense efficace, les risques de cyberattaques doivent être compris et évalués. « La technologie évolue, les cyberattaques sont de plus en plus puissantes, donc on doit suivre… c’est un peu la course », explique Damien Fritsch. Surtout en période de pandémie mondiale. Au centre des sujets médiatiques, les hôpitaux sont devenus une cible de plus en plus prisée, que ce soit pour les données qu’ils collectent ou les vies dont ils sont responsables. « Quand cette période-là va s’arrêter, le coronavirus disparaîtra, mais pas le savoir-faire d’attaque qu’ont développé les pirates contre les hôpitaux », conclut Damien Fritsch.
Anaelle Lucina.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici